Беспарольный вход

• Применяется к:

  Windows 11

Пароли являются основной частью цифровой безопасности, но они часто неудобны и уязвимы для кибератак. Благодаря Windows 11 пользователи могут пользоваться защитой без пароля, которая предлагает более безопасную и удобную альтернативу. После безопасной авторизации учетные данные защищены несколькими уровнями безопасности оборудования и программного обеспечения, предоставляя пользователям простой и без пароля доступ к своим приложениям и облачным службам.

Windows Hello

Слишком часто пароли ненадежны, украдены или забыты. Организации переходят к входу без пароля, чтобы снизить риск нарушений безопасности, снизить затраты на управление паролями, а также повысить производительность и удовлетворенность пользователей и клиентов. Корпорация Майкрософт стремится помочь организациям перейти к безопасному будущему без пароля с помощью Windows Hello, что является краеугольным камнем безопасности и защиты идентификации Windows.

Windows Hello может включить вход без пароля с помощью биометрических данных или проверки ПИН-кода и обеспечивает встроенную поддержку отраслевого стандарта FIDO2 без пароля. В результате людям больше не нужно носить внешнее оборудование, например ключ безопасности для проверки подлинности.

Безопасный и удобный интерфейс входа может дополнить или заменить пароли более надежной моделью проверки подлинности на основе ПИН-кода или биометрических данных, таких как распознавание лиц или отпечатков пальцев, защищенных доверенным платформенным модулем (TPM). Пошаговое руководство упрощает настройку.

Используя асимметричные ключи, подготовленные в TPM, Windows Hello защищает проверку подлинности путем привязки учетных данных пользователя к устройству. Windows Hello проверяет пользователя на основе СООТВЕТСТВИЯ ПИН-кода или биометрических данных и только после этого разрешает использовать криптографические ключи, привязанные к этому пользователю в доверенном платформенного модуля.

ПИН-код и биометрические данные остаются на устройстве и не могут храниться или получать доступ к ней извне. Так как никто не может получить доступ к данным без физического доступа к устройству, учетные данные защищены от атак на воспроизведение, фишинга и спуфинга, а также повторного использования паролей и утечки.

Windows Hello может выполнять проверку подлинности пользователей в учетной записи Майкрософт (MSA), службах поставщиков удостоверений или проверяющих сторонах, которые также реализуют стандарты FIDO2 или WebAuthn.

Подробнее

• Настройка Windows Hello

ПИН-код для Windows Hello

ПИН-код Windows Hello, который может ввести только пользователь с физическим доступом к устройству, можно использовать для строгой многофакторной проверки подлинности. ПИН-код защищен TPM и, как и биометрические данные, никогда не покидает устройство. Когда пользователь вводит СВОЙ ПИН-код, ключ проверки подлинности разблокируется и используется для подписи запроса, отправленного серверу проверки подлинности.

TPM защищает от угроз, включая атаки методом подбора ПИН-кода на потерянные или украденные устройства. После слишком большого количества неправильных предположений устройство блокируется. ИТ-администраторы могут задавать политики безопасности для ПИН-кодов, такие как требования к сложности, длине и сроку действия.

Новые возможности в Windows 11 версии 24H2

Если на вашем устройстве нет встроенных биометрических данных, Windows Hello по умолчанию было улучшено для использования безопасности на основе виртуализации (VBS) для изоляции учетных данных. Этот дополнительный уровень защиты помогает защититься от атак на уровне администратора. Даже при входе с ПОМОЩЬЮ ПИН-кода учетные данные хранятся в безопасном контейнере, обеспечивая защиту на устройствах со встроенными биометрическими датчиками или без них.

биометрические Windows Hello

Windows Hello биометрический вход повышает безопасность и производительность благодаря быстрому и удобному входу. Вводить ПИН-код не нужно. просто используйте биометрические данные для простого и восхитительного входа.

Устройства Windows, поддерживающие биометрическое оборудование, например камеры распознавания отпечатков пальцев или лиц, интегрируются непосредственно с Windows Hello, что обеспечивает доступ к клиентским ресурсам и службам Windows. Биометрические средства чтения для лиц и отпечатков пальцев должны соответствовать Windows Hello биометрическим требованиям. Windows Hello распознавание лиц предназначено для проверки подлинности только с доверенных камер, используемых во время регистрации.

Если периферийная камера подключена к устройству после регистрации, ее можно использовать для проверки подлинности лица, выполнив вход с помощью внутренней камеры. Для обеспечения дополнительных средств безопасности внешние камеры можно отключить для использования с Windows Hello распознавания лиц.

Подробнее

• Windows Hello биометрические требования

Датчик присутствия Windows

Датчик присутствия Windows^[9] обеспечивает еще один уровень защиты данных для гибридных рабочих ролей. Windows 11 устройства могут интеллектуально адаптироваться к присутствию пользователя, чтобы обеспечить безопасность и производительность, независимо от того, работают ли они дома, в офисе или в общественной среде.

Функция распознавания присутствия Windows объединяет датчики обнаружения присутствия с Windows Hello распознаванием лиц, чтобы подписать пользователя в режиме "руки" и автоматически блокирует устройство, когда пользователь покидает его. При адаптивном затемнение компьютер тускнеет экран, когда пользователь смотрит в сторону на совместимых устройствах с датчиками присутствия. Настроить датчики присутствия на устройствах также проще, чем когда-либо, благодаря простому включению в встроенном интерфейсе и новым ссылкам в параметрах, которые помогут найти функции обнаружения присутствия. Производители устройств могут настраивать и создавать расширения для датчика присутствия.

Конфиденциальность является главным приоритетом и более важной, чем когда-либо. Клиенты хотят больше прозрачности и контроля над использованием своей информации. Новые параметры конфиденциальности приложений позволяют пользователям разрешать или блокировать доступ к информации датчика присутствия. Пользователи могут выбрать эти параметры во время начальной настройки Windows 11.

Пользователи также могут воспользоваться преимуществами более детализированных параметров, чтобы легко включить и отключить функции определения дифференцированного присутствия, такие как пробуждение при подходе, блокировка в отпуске и адаптивное затемнение. Мы также поддерживаем разработчиков с новыми API для распознавания присутствия для сторонних приложений. Сторонние приложения теперь могут получать доступ к сведениям о присутствии пользователей на устройствах с датчиками присутствия.

Подробнее

• Датчик присутствия
• Управление параметрами определения присутствия в Windows 11

Windows Hello для бизнеса

Windows Hello для бизнеса расширяет возможности Windows Hello для работы с учетными записями Active Directory и Microsoft Entra ID организации. Он предоставляет единый доступ к рабочим или учебным ресурсам, таким как OneDrive, рабочая почта и другие бизнес-приложения. Windows Hello для бизнеса также предоставляет ИТ-администраторам возможность управлять ПИН-кодом и другими требованиями к входу для устройств, подключающихся к рабочим или учебным ресурсам.

После подготовки Windows Hello для бизнеса пользователи могут использовать ПИН-код, лицо или отпечатки пальцев для разблокировки учетных данных и входа на свое устройство с Windows.

Методы подготовки включают:

• Ключи доступа (предварительная версия), которые обеспечивают простой способ проверки подлинности пользователей для Microsoft Entra ID без ввода имени пользователя или пароля
• Временный пропуск доступа (TAP), ограниченный по времени секретный код с строгими требованиями к проверке подлинности, выданными через Microsoft Entra ID
• Существующая многофакторная проверка подлинности с помощью Microsoft Entra ID, включая приложение Microsoft Authenticator

Windows Hello для бизнеса повышает безопасность за счет замены традиционных имен пользователей и паролей сочетанием ключа безопасности или сертификата и ПИН-кода или биометрических данных. Эта настройка безопасно сопоставляет учетные данные с учетной записью пользователя.

Существуют различные модели развертывания для Windows Hello для бизнеса, обеспечивающие гибкость для удовлетворения различных потребностей различных организаций. Среди них рекомендуется использовать гибридную облачную модель доверия Kerberos , и она считается самой простой для организаций, работающих в гибридных средах.

Подробнее

• Обзор Windows Hello для бизнеса
• Включение ключей доступа (FIDO2) для организации

Сброс PIN-кода

Служба сброса ПИН-кода (Майкрософт) позволяет пользователям сбрасывать забытые Windows Hello ПИН-коды без необходимости повторной регистрации. После регистрации службы в клиенте Microsoft Entra ID эта возможность должна быть включена на устройствах Windows с помощью групповой политики или решения для управления устройствами, например Microsoft Intune^[4].

Пользователи могут инициировать сброс ПИН-кода с экрана блокировки Windows или с помощью параметров входа в разделе Параметры. Процесс включает проверку подлинности и завершение многофакторной проверки подлинности для сброса ПИН-кода.

Подробнее

• Сброс ПИН-кода

Многофакторная разблокировка

Для организаций, которым требуется дополнительный уровень безопасности входа, многофакторная разблокировка позволяет ИТ-администраторам настроить Windows так, чтобы для входа в систему требовалось сочетание двух уникальных доверенных сигналов. Примеры доверенных сигналов включают ПИН-код или биометрические данные (лицо или отпечаток пальца) в сочетании с ПИН-кодом, Bluetooth, IP-конфигурацией или Wi-Fi.

Многофакторная разблокировка полезна для организаций, которым необходимо запретить информационным работникам обмениваться учетными данными или соблюдать нормативные требования для политики двухфакторной проверки подлинности.

Подробнее

• Многофакторная разблокировка

Интерфейс Windows без пароля

Windows Hello для бизнеса теперь поддерживают полностью без пароля.

ИТ-администраторы могут настроить политику для компьютеров, присоединенных к Microsoft Entra ID, чтобы пользователи больше не видели возможность ввода пароля при доступе к ресурсам компании. После настройки политики пароли удаляются из пользовательского интерфейса Windows, как для разблокировки устройства, так и для сценариев проверки подлинности в сеансе. Однако пароли пока не удаляются из каталога удостоверений. Ожидается, что пользователи будут перемещаться по основным сценариям проверки подлинности, используя надежные, устойчивые к фишингу учетные данные на основе владения, такие как Windows Hello для бизнеса и ключи безопасности FIDO2. При необходимости пользователи могут использовать механизмы восстановления без пароля, такие как служба сброса ПИН-кода Майкрософт или веб-вход.

Пользователи проходят проверку подлинности непосредственно с помощью Microsoft Entra ID, что помогает ускорить доступ к локальным приложениям и другим ресурсам.

Подробнее

• Интерфейс Windows без пароля

Улучшенная безопасность входа (ESS)

Windows Hello поддерживает расширенную безопасность входа, которая использует специализированные аппаратные и программные компоненты для повышения уровня безопасности при биометрическом входе.

Биометрические данные расширенной безопасности входа используют безопасность на основе виртуализации (VBS) и доверенный платформенный модуль для изоляции процессов проверки подлинности пользователей и данных, а также для защиты пути передачи информации.

Эти специализированные компоненты защищают от класса атак, включая внедрение биометрических образцов, воспроизведение и незаконное изменение. Например, средства чтения отпечатков пальцев должны реализовать протокол безопасного подключения к устройству, который использует согласование ключей и сертификат, выданный Корпорацией Майкрософт, для защиты и безопасного хранения данных проверки подлинности пользователей. Для распознавания лиц такие компоненты, как таблица Secure Devices (SDEV) и изоляция процессов с помощью доверенных модулей, помогают предотвратить больше классов атак.

Расширенная безопасность входа настраивается производителями устройств во время производственного процесса и обычно поддерживается на защищенных основных компьютерах. Для распознавания лиц расширенная безопасность входа поддерживается определенными сочетаниями силикона и камеры, проверка с конкретным производителем устройства. Проверка подлинности по отпечаткам пальцев доступна для всех типов процессоров. Обратитесь к конкретным изготовителям оборудования для получения сведений о поддержке.

Подробнее

• Усиленная безопасность при входе в Windows Hello

FIDO2

Альянс FIDO, орган по отраслевым стандартам Fast Identity Online, был создан для продвижения технологий и стандартов проверки подлинности, которые уменьшают зависимость от паролей. FiDO Alliance и Консорциум World Wide Web (W3C) совместно определили спецификации протокола CTAP2 и веб-проверки подлинности (WebAuthn). Эти спецификации являются отраслевым стандартом для обеспечения надежной, устойчивой к фишингу, удобной для пользователей и конфиденциальности проверки подлинности в Интернете и приложениях. Стандарты и сертификаты FIDO становятся признанными ведущими стандартами для создания решений для безопасной проверки подлинности на предприятиях, государственных учреждениях и потребительских рынках.

Windows 11 также могут использовать внешние ключи безопасности FIDO2 для проверки подлинности вместе с или в дополнение к Windows Hello и Windows Hello для бизнеса, что также является сертифицированным FIDO2 решением без пароля. В результате Windows 11 можно использовать в качестве средства проверки подлинности FIDO для многих популярных служб управления удостоверениями.

Ключи доступа

Windows 11 гораздо сложнее для хакеров, которые используют украденные пароли с помощью фишинговых атак, позволяя пользователям заменять пароли ключами доступа. Ключи доступа — это кроссплатформенное будущее безопасного входа. Корпорация Майкрософт и другие технологические лидеры поддерживают ключи доступа на своих платформах и службах.

Ключ доступа — это уникальный, неизменяемый криптографический секрет, который надежно хранится на устройстве. Вместо использования имени пользователя и пароля для входа в веб-сайт или приложение пользователи Windows 11 могут создавать и использовать ключ доступа с Windows Hello, сторонним поставщиком ключей доступа, внешним ключом безопасности FIDO2 или мобильным устройством. Ключи доступа в Windows работают в любых браузерах или приложениях, которые поддерживают их для входа.

Ключи доступа, созданные и сохраненные с помощью Windows Hello, защищены Windows Hello или Windows Hello для бизнеса. Пользователи могут войти на сайт или в приложение, используя свое лицо, отпечаток пальца или ПИН-код устройства. Пользователи могут управлять своими ключами доступа в разделе Параметры>Учетные записи Ключи>доступа.

Скоро[^7]

Модель подключаемых модулей для сторонних поставщиков ключей доступа позволяет пользователям управлять своими ключами доступа с помощью сторонних диспетчеров ключей доступа. Эта модель обеспечивает беспроблемную работу платформы, независимо от того, управляются ли ключи доступа напрямую с помощью Windows или стороннего средства проверки подлинности. При использовании стороннего поставщика ключей доступа ключи доступа надежно защищаются сторонним поставщиком и управляются ими.

Подробнее

• Поддержка ключей доступа в Windows
• Включение ключей доступа (FIDO2) для организации

Microsoft Authenticator

Приложение Microsoft Authenticator, которое работает на устройствах iOS и Android, помогает обеспечить безопасность и производительность Windows 11 пользователей. Microsoft Authenticator с Microsoft Entra ключами доступа можно использовать как устойчивый к фишингу метод для начальной загрузки Windows Hello для бизнеса.

Microsoft Authenticator также обеспечивает простой и безопасный вход для всех учетных записей в Интернете с помощью многофакторной проверки подлинности, входа по телефону без пароля, проверки подлинности, устойчивой к фишингу (ключи доступа) или автозаполнения пароля. Учетные записи в приложении Authenticator защищены с помощью пары открытого и закрытого ключей в аппаратном хранилище, таком как цепочка ключей в iOS и хранилище ключей в Android. ИТ-администраторы могут использовать различные средства, чтобы подталкивать пользователей к настройке приложения Authenticator, предоставлять им дополнительный контекст о том, откуда происходит проверка подлинности, и убедиться, что они активно используют его.

Отдельные пользователи могут создавать резервные копии своих учетных данных в облаке, включив параметр зашифрованного резервного копирования в параметрах. Они также могут просматривать журнал входа и параметры безопасности для личных, рабочих или учебных учетных записей Майкрософт.

Использование этого безопасного приложения для проверки подлинности и авторизации позволяет пользователям контролировать, как, где и когда используются их учетные данные. Чтобы не отставать от постоянно меняющейся среды безопасности, приложение постоянно обновляется, и добавляются новые возможности, чтобы опережать новые векторы угроз.

Подробнее

• Методы проверки подлинности в Microsoft Entra ID — приложение Microsoft Authenticator

Веб-вход

Благодаря поддержке веб-входа пользователи могут входить в систему без пароля с помощью приложения Microsoft Authenticator или временного доступа (TAP). Веб-вход также включает федеративный вход с помощью поставщика удостоверений SAML-P.

Подробнее

• Данные для входа в Интернете для Windows

Федеративный вход

Windows 11 поддерживает федеративный вход с помощью внешних служб управления удостоверениями для образовательных учреждений. Если учащиеся не могут легко вводить или запоминать сложные пароли, эта возможность обеспечивает безопасный вход с помощью таких методов, как QR-коды или изображения.

Подробнее

• Настройка федеративного входа для устройств с Windows

Смарт-карты

Организации также могут выбрать смарт-карты, метод проверки подлинности, который существовал до биометрической проверки подлинности. Эти портативные запоминающие устройства, устойчивые к незаконному изменению, повышают безопасность Windows за счет проверки подлинности пользователей, подписывания кода, защиты электронной почты и входа с помощью учетных записей домена Windows.

Смарт-карты предоставляют:

• Простота использования в таких сценариях, как здравоохранение, когда пользователям необходимо быстро войти в систему и выйти без использования рук или при совместном использовании рабочей станции
• Изоляция критически важных для безопасности вычислений, которые включают проверку подлинности, цифровые подписи и обмен ключами из других частей компьютера. Эти вычисления выполняются на смарт-карта
• Перенос учетных данных и другой личной информации между компьютерами на работе, дому или в дороге

Смарт-карты можно использовать только для входа в учетные записи домена или Microsoft Entra ID учетные записи.

Если для входа в учетную запись домена используется пароль, Windows использует протокол Kerberos версии 5 (V5) для проверки подлинности. Если вы используете смарт-карта, операционная система использует проверку подлинности Kerberos версии 5 с сертификатами X.509 версии 3. На устройствах, присоединенных к Microsoft Entra ID, смарт-карта можно использовать с проверкой подлинности на основе Microsoft Entra ID сертификатов. Смарт-карты нельзя использовать с локальными учетными записями.

ключи безопасности Windows Hello для бизнеса и FIDO2 — это современные двухфакторные методы проверки подлинности для Windows. Клиентам, использующим виртуальные смарт-карты, рекомендуется перейти на Windows Hello для бизнеса или FIDO2. Для новых установок Windows рекомендуется Windows Hello для бизнеса или ключи безопасности FIDO2.

Подробнее

• Технический справочник по смарт-картам

Улучшенная защита от фишинга в Microsoft Defender SmartScreen

По мере развития защиты от вредоносных программ и других мер безопасности киберпреступники ищут новые способы обхода мер безопасности. Фишинг является основной угрозой, с приложениями и веб-сайтами, предназначенными для кражи учетных данных путем обмана людей в добровольном вводе паролей. В результате многие организации переходят на упрощение и безопасность входа без пароля с помощью Windows Hello или Windows Hello для бизнеса.

Мы знаем, что люди находятся в разных частях своего пути без пароля. Чтобы помочь людям, которые по-прежнему используют пароли, Windows 11 обеспечивает эффективную защиту учетных данных. Microsoft Defender SmartScreen теперь включает улучшенную защиту от фишинга, чтобы автоматически обнаруживать, когда пароль Майкрософт вводится в любое приложение или веб-сайт. Затем Windows определяет, выполняется ли безопасная проверка подлинности приложения или сайта в Корпорации Майкрософт, и предупреждает, что учетные данные находятся под угрозой. Поскольку пользователь получает предупреждение в момент потенциального кражи учетных данных, он может предпринять упреждающее действие, прежде чем пароль будет использован против них или их организации.

Подробнее

• Улучшенная защита от фишинга в Microsoft Defender SmartScreen